“의료관련 법과 개인정보보호법이 동시에 규정하고 있을 때 의료기관은 어떤 법을 따라야 합니까?”
“의료관련 법률의 규정보다 일반법인 개인정보보호법 상의 의무규제 사항이 더욱 강한 경우에는 개인정보보호법을 적용합니다. 다만 환자 의료정보의 타기관 제공, 진료기록부 의무 보존기관 등 의료관련법에 특별히 규정하고 있는 것은 보건관련 법을 우선으로 적용합니다.”
분당서울대병원 의료정책연구소는 29일 ‘개인정보보호법 시행에 따른 의료기관의 대책’ 워크샵을 개최, 다수의 의료기관이 개인정보보호법 시행에 대해 가지고 있는 궁금증을 해소했다.
9월 30일에 전격 시행, 내년 3월 30일 공식 처벌규정에 들어가지만 실무 입장에서는 대응책 마련에 갈증이 따라왔기 때문이다. 이날 워크샵에도 병원 강당을 가득 메울 정도로 열기가 뜨거웠다.
행정안전부 개인정보보호과 김상광 서기관은 ‘의료기관과 개인정보보호법’을 발표, 의료기관들이 자주 문의하는 질문의 답을 소개했다.
우선 치료가 끝난 환자의 의료정보를 연구 목적이나 향후 진료를 위해 영구적으로 보관해 이용하는 것은 문제가 없을까? 답은 "원칙적으로 환자 개인정보는 개인정보 처리목적이 달성되거나 보존기간이 경과한 경우 지체없이 파기해야 한다"는 설명이다.
또한 환자가 자신의 의료정보에 대해 삭제나 수정을 요구하는 경우 의료기관은 법령에 의해 보존기간이 명시되어 있는 경우에는 삭제할 수 없다. 처방, 진료와 관련됐다면 삭제를 거부할 수 있고 명백한 오기, 누락 등에는 삭제나 수정 가능하다.
의료정보 수집하는 생성기관이 다른 기관의 요청에 따라 환자정보를 제공하는 것은 별도의 환자 동의를 거쳐 제공해야 한다. 단, 공공 의료기관은 정보주체 또는 제3자의 급박한 생명신체이익, 통계작성, 학술 연구 , 범죄수사, 형의 집행 등의 경우에는 예외적으로 제공 가능하다.
진료 목적으로 수집한 개인정보를 건강정보 세미나 등을 홍보할 목적으로 활용하는 것은 당초 수집 목적 외에 이용이 될 수 있으므로 최초 수집 시 홍보 목적으로 이용할 수 있다는 것을 명시해 동의를 받아야 한다.
김 서기관은 "의료기관이 갖춰야할 안전성 확보조치의 구체적 내용은 고시에 의해 내부관리 계획을 수립하고, 접근권한 관리, 방화벽 등 접근통제시스템 설치, 주민번호 등 고유식별정보의 암호화, 접속기록 보관, 의무기록 보관장소에 물리적 접근방지 등을 준수해야 한다"고 제언했다.
분당서울대병원, "의료정보화에 이어 보안도 선도"
의료정보화로 앞서가는 평을 받는 분당서울대병원은 개인정보보호에도 신경을 많이 쓰고 있는 것으로 확인됐다. 먼저 환자정보보호위원회를 신설하고, 환자정보관리책임자를 두는 일부터 시작했다. 이중 연구에 사용되는 정보에 대한 논란이 많은 가운데, 주민등록번호 등 식별정보가 포함돼서 연구를 하는 것은 불가능하도록 시스템을 갖췄다.
무엇보다 내부 시스템 구축을 가장 중요한 과제로 보고 있다. 이경권 의료법무전담교수는 “병원의 시스템 설정 기준과 직원들의 의식수준에 따라 개인정보보호 수준이 다를 것“이라며 ”환자정보가 필요한 연구에 대한 목적을 자세히 하고, 식별정보는 본래 이용하고자 했던 목적의 서비스 외에 것은 제공하지 못하게 해야 하다“고 부연했다.
차세대 EMR을 준비하면서 따르는 스마트폰 보안문제도 어느 정도 먼저 해답을 제시할 수 있을 것으로 보인다.
의료정보센터장인 황희 교수는 “스마트폰에 PACS,EMR 등을 사용하게 되면 보안이 취약할 수 밖에 없다”며 모바일 진료시스템 사전 위험 분석과 모바일 컨설팅을 이미 진행했으며, 법적, 기술적으로 문제가 되지 않으면서 행안부, 복지부, 교과부 등 각각의 룰을 따르는 방향으로 개발할 것“으로 강조했다.
이에 대해 보건복지부 배금주 의료기관정책과장은 "개인정보에 대한 환자들의 권리의식이 증가하면서 각종 기업에서 발생해온 큰 사건이 생겨도 막을 길이 없다"며 "의료기관들이 철저히 준비하되, 행안부와 상충되는 하위법령에 대해서는 복지부가 적극적으로 의견을 개진해 의료기관의 특수성을 인정할 수 있도록 하겠다"고 덧붙였다.
임솔 기자
slim@monews.co.kr